Der Bundesgerichtshof (BGH) musste zwei interessante datenschutzrechtliche Entscheidungen treffen. Beide Fälle waren juristisch noch nach den Vorschriften vor 2018 und damit vor der DS-GVO zu beurteilen. Trotzdem sind beide Entscheidungen wegweisend für das heutige Datenschutzrecht auf Basis der DS-GVO. Im ersten Fall geht es um die Gestaltung von Cookie-Bannern zur Einholung einer datenschutzrechtlichen Einwilligung, im zweiten Fall um die Abmahnfähigkeit von Datenschutzverstößen.
Was sind Cookies?
Cookies sind kleine Textdateien, die von einer Website, die der Nutzer besucht, auf dessen Endgerät wie z. B. dem Computer oder Handy gespeichert werden. Sie sind z. B. für nutzerfreundliche Funktionen von Webseiten, zur Analyse des Userverhaltens, zur Auswertung von Seitenperformances oder dem Speichern der Cookieeinstellungen notwendig und sollen den Nutzern dadurch das Surfen im Internet erleichtern.
Abhängig von der Art des Cookies dürfen diese nur dann Informationen speichern, wenn der Nutzer bereit ist, der Website die eigenen Daten preiszugeben. Dies geschieht durch Einwilligungen, die über Cookiebanner abgegeben werden können.
In dem folgenden Fall des BGH geht es eben um die Abgabe einer Einwilligung durch den Nutzer bzw. um das Verfahren, wie die Einwilligung abgegeben wird. Hierbei ist zwischen zwei Zustimmungsverfahren mit Ankreuzkästchen zu unterscheiden:
- Opt-in – Verfahren: Das Ankreuzkästchen muss aktiv vom User angewählt werden.
- Opt- out- Verfahren: Das Ankreuzkästchen ist bereits vorangewählt und die Einwilligung solange automatisch gegeben bis der Nutzer dieser durch aktives abwählen des Kästchens widerspricht.
Der konkrete Sachverhalt der Cookie-Entscheidung
Im durch den BGH zu entscheidendem Fall klagt der Bundesverband der Verbraucherzentralen gegen einen Händler. Die Beklagte veranstaltete im September 2013 (also noch vor Inkrafttreten der DS-GVO) auf ihrer Homepage ein Gewinnspiel. Um daran teilnehmen zu können, mussten die Nutzer ihren Namen und ihre Anschrift in Eingabefelder eintragen. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzkästchen versehene Einverständniserklärungen. Das erste Ankreuzfeld diente dem Einverständnis für Werbung durch Sponsoren oder Kooperationspartner und war nicht mit einem voreingestellten Häkchen versehen. Bei dem zweiten Kästchen war der Haken für die Zustimmung in das Setzen von Tracking-Cookies bereits eingetragen. Die Checkbox war also bereits angewählt – wer nicht zustimmen wollte, konnte das Häkchen entfernen. Eine Teilnahme an dem Gewinnspiel war jedoch nur möglich, wenn mindestens eines der beiden Felder mit einem Haken versehen war. Der Bundesverband der Verbraucherzentrale sah darin einen Rechtsverstoß und klagte gegen das Unternehmen.
Was sagten vorherige Gerichtsentscheidungen?
Das Ausgangsverfahren wurde am Landgericht (LG) Frankfurt verhandelt. Hier erhob der Verbraucherschutzverband seine Klage, weil ihm dieses als „Opt-out-Verfahren“ bezeichnete Vorgehen, ein Dorn im Auge war. Vor dem Gericht macht er daher einen Unterlassungsanspruch gegen diese Vorgehensweise geltend. Begründung hierfür war, dass den gesetzlichen Regelungen ein „Opt-in“ Erfordernis zu entnehmen sei. Das LG Frankfurt gab dem Kläger Recht und untersagte die Verwendung der Einwilligung in der entsprechenden Art und Weise. Die Abmahnung des Klägers war damit rechtens.
Anlässlich der Berufung des Gewinnspielveranstalters, wies das Oberlandesgericht (OLG) Frankfurt am Main den Unterlassungsanspruch jedoch zurück und erklärte das angewandte „Opt-out“-Verfahren für zulässig. Begründet wurde dieses Urteil damit, dass aus den datenschutzrechtlichen Vorschriften keine ausdrücklich zu erteilende Einwilligung („Opt-in“) abzuleiten sei. Die Einwilligung wird dann rechtmäßig erklärt, wenn das voreingestellte Häkchen nicht entfernt wird. Entscheidend hierfür ist jedoch, ob der Nutzer vorab bereits klare, verständliche und umfassende Informationen über Cookies und deren Verwendung auf der Website erhalten hat. Denn nur wer darüber aufgeklärt ist, kann auch eine Entscheidung treffen.
Verhandlung vor dem BGH
Beide Parteien legten gegen die Entscheidung des OLG Rechtsmittel ein, sodass der Fall vor dem BGH landete. Der BGH sah die Sache anders als das OLG Frankfurt – denn das vorangekreuzte Kästchen könnte gegen den Grundgedanken der damals gültigen E-Privacy-Richtlinie in der Fassung der Cookie-Richtlinie von 2009 verstoßen. Im Gegensatz zu Verordnungen gelten Richtlinien der EU aber nicht unmittelbar, sondern müssen von den einzelnen Ländern in nationales Recht umgewandelt werden. Da der deutsche Gesetzgeber die Anforderungen an Cookies laut E-Privacy-Richtlinie jedoch nie umgesetzt hat, steht diesem Grundgedanken der EU-Richtlinie § 15 Abs. 3 Telemediengesetz (TMG) entgegen. Danach ist es ausreichend, wenn Nutzern das „Opt-out“-Verfahren angeboten wird.
Der BGH hatte erhebliche europarechtliche Zweifel und legte daher dem Europäischen Gerichtshof (EuGH) folgende drei Fragen vor:
- Wie muss die Einwilligung nach der E-Privacy Richtlinie aussehen, wenn Informationen auf einem Endgerät gespeichert oder von dort gelesen werden sollen?
- Gelten für personenbezogene Daten Besonderheiten?
- Welche Anforderungen stellt die DS-GVO an eine solche Einwilligung?
Der EuGH kam hierbei zum Schluss, dass voreingestellte Ankreuzkästchen für eine Einwilligung nicht ausreichen. Ausführliche Informationen zu diesem Urteil finden Sie in unserem Blogartikel „EuGH-Urteil zu Cookies: Ohne aktive Zustimmung keine Einwilligung“. Somit wäre das nach dem deutschen Telemediengesetz mögliche Opt-out Verfahren mit den Vorgaben der europäischen Richtlinie nicht zu vereinbaren.
Entscheidung des BGH
Wie auch der EuGH entschied sich nun der BGH dafür, dass die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens, das zur Verweigerung der Einwilligung abgewählt werden muss, als rechtlich unzulässig einzustufen ist. Vorangewählte Ankreuzkästchen reichen also für die Einholung einer wirksamen Einwilligung nicht aus.
Zudem verkündete der BGH, dass die Einholung der Einwilligung durch ein vorangewähltes Ankreuzkästchen auch bereits nach der bis zum 24.05.2018 geltenden Rechtslage – also vor Geltung der Verordnung (EU) 2016/679 – im Sinne des § 15 Abs. 3 TMG unvereinbar war.
Somit stellt ein vorangewähltes Ankreuzkästchen, dass die Einwilligung des Nutzers ohne dessen aktives Zutun bestätigt, sowohl nach jetzigem geltenden Recht als auch nach dem im Entscheidungszeitpunkt geltenden Recht eine unangemessene Benachteiligung des Nutzers da und ist daher nicht zulässig. Dem Kläger steht nun hinsichtlich der Einwilligung in die Speicherung von Cookies ein Unterlassungsanspruch gem. § 1 UKlaG in Verbindung mit § 307 Abs. 1 Satz 1 und Abs. 2 Nr. 1 BGB zu.
Was ist nun zu beachten?
Als Websitebetreiber sollte man, wenn nicht bereits geschehen, die folgenden Maßnahmen ergreifen um rechtliche Risiken zu minimieren:
- Analysieren welche Cookies auf der Website gesetzt sind und welche Informationen diese auslesen. Anschließend ist zu prüfen, ob hierfür eine Einwilligung des Nutzers erforderlich ist. Grundsätzlich ist eine Einwilligung dann erforderlich, wenn das Surf- und Nutzungsverhalten des Users ausgewertet und für Werbezwecke erfolgt. Auch wenn Cookies von Drittanbietern auf der Website eingebunden werden, muss eine Einwilligung des Nutzers eingeholt werden.
- Informationen über die gesetzten Cookies müssen in der Datenschutzerklärung genannt und definiert werden. Hier sind unter anderem klare Angaben zur Funktionsdauer oder zur Funktionsweise der Cookies aufzuführen. Sind im Datenschutzhinweis keine Informationen über gesetzte Cookies enthalten, kann auch keine wirksame Einwilligung des Users eingeholt werden.
- Zudem müssen die Einwilligungen, falls erforderlich, wirksam eingeholt werden. Dies geschieht über sog. Cookiebanner. Wird ein solches Banner bereits verwendet, muss der Websitebetreiber genau prüfen, ob dieses auch den datenschutzrechtlichen Vorgaben entspricht.
Wann ist eine Einwilligung wirksam?
- Vorher: Cookies dürfen erst dann gesetzt werden, wenn der Nutzer seine Einwilligung erteilt hat.
- Freiwillig: Der Nutzer muss seine Einwilligung freiwillig abgeben. Der Besuch der Website darf also nicht von der Abgabe der Einwilligung zur Setzung von Cookies abhängig gemacht werden.
- Aktiv: Der Nutzer muss seine Einwilligung aktiv über das sog. Opt-in-Verfahren abgeben. Vorab angewählte Ankreuzkästchen sind nicht zulässig.
- Widerrufbar: Der Nutzer muss jederzeit die Möglichkeit haben, seine vorher abgegebene Einwilligung zu widerrufen. Zudem muss der Websitebetreiber über die Möglichkeit des Widerrufs vorher, z.B. auf dem Cookiebanner, informieren.
- Nachweisbar: Der Websitebetreiber muss die Einwilligung des Nutzers nachweisen können.
Abmahnfähigkeit von Datenschutzverstößen
Ein immer noch aktuelles und heiß diskutiertes Thema in der Datenschutzwelt ist die Abmahnfähigkeit von Datenschutzverstößen. Seit bzw. auch schon vor Inkrafttreten der DS-GVO wurde diese Frage gestellt und es schien so, als ob es bis vor kurzem keine Antwort auf diese simple Frage gegeben habe. Denn neben den Gründen für eine Abmahnfähigkeit wurden auch gute Gründe gegen eine Abmahnfähigkeit gesammelt. Dies führte zu einer reinen Odyssee der Frage nach der Abmahnfähigkeit, die von Gericht zu Gericht tingelte – insgesamt acht an der Zahl. Das Ergebnis: acht Gerichte, drei Meinungen – kein guter Schnitt und vorallem keine einheitliche Linie.
Die ausführlichen Informationen zu den unterschiedlichen Urteilen finden Sie auch in unserem Blogartikel Abmahnfähigkeit von Datenschutz-Verletzungen.
Entscheidung des BGH
Der BGH hat das Verfahren mit seiner Entscheidung vom 28.05.2020 ausgesetzt und die zentrale Frage dem EuGH zur Vorabentscheidung weitergeleitet. Damit landet der Dauerbrenner nun in Luxemburg. Konkret will der BGH von den europäischen Richtern wissen, ob die Regelungen in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der DS-GVO nationalen Regelungen entgegenstehen, bei denen neben den staatlichen Aufsichtsbehörden und Betroffenen Personen auch Mitbewerber, berechtigten Verbände, Einrichtungen und Kammern die Befugnis haben, gegen Datenschutzverletzungen vor den Zivilgerichten vorzugehen.